使用IAM政策管理員對於主資料夾和應用程式設定的 Amazon S3 儲存貯體的存取持續性 - Amazon AppStream 2.0
刪除用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用IAM政策管理員對於主資料夾和應用程式設定的 Amazon S3 儲存貯體的存取持續性

下列範例顯示如何使用IAM政策來管理主資料夾和應用程式設定持續性對 Amazon S3 儲存貯體的存取。

刪除用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體

AppStream 2.0 會在其建立的儲存貯體中新增 Amazon S3 儲存貯體政策,以防止意外刪除它們。若要刪除 S3 儲存貯體,您必須先刪除 S3 儲存貯體政策。以下是您必須針對主資料夾和應用程式設定持續性刪除的儲存貯體政策。

主資料夾政策

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream2-36fb080bb8-region-code-account-id-without-hyphens"
    }
  ]
}

應用程式設定持續性政策

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PreventAccidentalDeletionOfBucket",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:DeleteBucket",
      "Resource": "arn:aws:s3:::appstream-app-settings-region-code-account-id-without-hyphens-unique-identifier"
     }
   ]
}

如需詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的刪除或清空儲存貯體

限制管理員存取用於主資料夾和應用程式設定持續性的 Amazon S3 儲存貯體

根據預設,可以存取 AppStream 2.0 建立之 Amazon S3 儲存貯體的管理員可以檢視和修改屬於使用者主資料夾和永久應用程式設定一部分的內容。若要限制管理員存取含有使用者檔案的 S3 儲存貯體,建議您依據以下範本套用 S3 儲存貯體存取政策:

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::account:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::account:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::account:user/IAM-user-name"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::home-folder-or-application-settings-persistence-s3-bucket-region-account"
  }
 ]
}

此政策只允許 S3 儲存貯體存取指定的使用者和 AppStream 2.0 服務。對於每個應該擁有存取權的IAM使用者,請複製以下行:

"arn:aws:iam::account:user/IAM-user-name"

在下列範例中,政策會限制除IAM使用者 marymajor 和 Johnstiles 以外的任何人存取主資料夾 S3 儲存貯體。它也允許存取帳戶識別碼 123456789012 的 AppStream 2.0 服務,位於美國西部 (奧勒岡) AWS 區域。

{
  "Sid": "RestrictedAccess",
  "Effect": "Deny",
  "NotPrincipal": 
  {
    "AWS": [
      "arn:aws:iam::123456789012:role/service-role/AmazonAppStreamServiceAccess",
      "arn:aws:sts::123456789012:assumed-role/AmazonAppStreamServiceAccess/PhotonSession",
      "arn:aws:iam::123456789012:user/marymajor",
      "arn:aws:iam::123456789012:user/johnstiles"
    ]
  },
    "Action": "s3:*",
    "Resource": "arn:aws:s3:::appstream2-36fb080bb8-us-west-2-123456789012"
  }
 ]
}